테넌트 시스템에 대한 보안 정책
보안 정책은 테넌트 시스템으로 구성할 수 있습니다. 자세한 내용은 다음 주제를 참조하십시오.
테넌트 시스템에 대한 보안 정책 이해
보안 정책은 어떤 트래픽이 방화벽을 통과할 수 있는지에 대한 규칙과 트래픽이 방화벽을 통과할 때 수행해야 하는 작업을 시행합니다. 테넌트 시스템의 관리자는 보안 정책을 생성하여 소스에서 목적지로 전달하도록 허용된 트래픽 종류를 정의하여 영역에서 영역으로의 트래픽 흐름을 제어할 수 있습니다. 보안 정책의 관점에서 트래픽은 하나의 보안 영역으로 들어가 다른 보안 영역을 통해 나갑니다. 기본적으로 테넌트 시스템은 영역 내 및 영역 간 방향을 포함하여 모든 방향에서 모든 트래픽을 거부합니다.
릴리스 18.3R1 Junos OS 시작하여 논리적 시스템에서 지원되는 보안 정책 기능이 이제 테넌트 시스템으로 확장되었습니다.
보안 정책은 테넌트 시스템에서 구성할 수 있습니다. 테넌트 보안 정책은 논리적 시스템 보안 정책 및 방화벽 전반의 보안 정책과 동일한 방식으로 구성됩니다. 테넌트 시스템 내에서 생성된 모든 보안 정책, 정책 규칙, 주소록, 애플리케이션 및 애플리케이션 세트 및 스케줄러는 해당 테넌트 시스템에만 적용됩니다. 테넌트 시스템 간에는 사전 정의된 애플리케이션 및 애플리케이션 세트(예: junos-ftp)만 공유됩니다.
테넌트 시스템의 관리자는 테넌트 시스템의 보안 정책에 대한 모든 속성을 구성하고 볼 수 있습니다.
릴리스 18.4R1 Junos OS 테넌트 시스템 관리자는 테넌트 시스템 내에서 동적 주소를 생성할 수 있습니다. 동적 주소 항목에는 외부 소스에서 추출한 IP 주소와 접두사가 포함됩니다. 보안 정책은 소스 주소 필드 또는 대상 주소 필드에서 동적 주소를 사용합니다. 명령을 show security dynamic-address사용하여 테넌트 시스템의 이름, 피드 및 속성을 포함한 동적 주소 정보를 볼 수 있습니다.
DAE(Dynamic Address Entry)는 테넌트 시스템 내의 외부 소스에서 수동으로 입력하거나 가져올 수 있는 IP 주소 그룹입니다. DAE 기능을 사용하면 피드 기반 IP 개체를 보안 정책에 사용하여 소스 또는 대상 IP 기준에 따라 트래픽을 거부하거나 허용할 수 있습니다.
지정된 테넌트 시스템의 최대 DAE 수는 시스템 전체 확장 수와 동일합니다. 또한 모든 테넌트 시스템의 DAE 합이 DAE의 시스템 전체 확장 수보다 적거나 같아야 합니다. 하나의 테넌트 시스템이 최대 IP 엔트리 수를 사용하는 경우 다른 테넌트 시스템은 DAE에 IP 항목을 입력하지 못합니다.
Junos 18.4R1 set security dynamic-address feed-server 부터 테넌트 시스템에서 명령을 구성할 수 있습니다.
애플리케이션 시간 제한
애플리케이션에 대한 애플리케이션 시간 제한 값 세트가 세션 시간 초과를 결정합니다. 애플리케이션 시간 제한 동작은 테넌트 시스템에서 루트 수준과 동일합니다. 테넌트 시스템 관리자는 보안 정책에서 사전 정의된 애플리케이션을 사용할 수 있지만, 관리자는 이러한 사전 정의된 애플리케이션의 시간 제한 값을 수정할 수 없습니다. 애플리케이션 시간 제한 값은 애플리케이션 항목 데이터베이스와 해당 테넌트 시스템 TCP 및 UDP 포트 기반 타임아웃 테이블에 저장됩니다.
보안 정책 할당
기본 관리자는 각 테넌트 시스템에 대해 구성할 수 있는 최대 정책 수를 할당하기 위해 보안 프로필을 만듭니다. 테넌트 시스템의 관리자는 보안 프로파일에 의해 제한되어 보안 프로필에 설명된 정책 수를 초과하지 않습니다. 테넌트 시스템의 관리자는 명령을 사용하여 show system security-profile policy 테넌트 시스템에 할당된 보안 정책 수를 확인합니다.
user@host> show system security-profile policy
logical-system tenant name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 16000
예: 테넌트 시스템에서 보안 정책 구성
이 예는 테넌트 시스템에 대한 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
구성을 시작하기 전에 다음을 수행합니다.
영역을 구성합니다. 예: 테넌트 시스템에서 보안 영역 구성을 참조하십시오.
show system security-profiles policy명령을 사용하여 테넌트 시스템에 할당된 보안 정책 리소스를 확인합니다.
개요
이 예에서 테넌트 시스템에 대한 보안 정책을 구성할 수 있습니다. 테넌트 시스템 사용자의 관리자는 계층 수준을 사용하여 [edit tenants tenant-name security policies] 보안 정책을 구성할 수 있습니다. 이 예는 표 1에 설명된 보안 정책을 구성합니다.
기능 |
구성 매개 변수 |
|---|---|
정책 1 |
다음 트래픽을 허용합니다.
|
정책 2 |
다음 트래픽을 허용합니다.
|
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 match source-address any set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 match destination-address any set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 match application any set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 then permit set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match application any set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
테넌트 시스템에서 보안 정책을 구성하는 방법:
테넌트 시스템에 로그인하고 테넌트 시스템 이름을 TSYS1로 정의합니다.
[edit] user@host# set tenants TSYS1
영역 신뢰에서 영역 신뢰할 수 없는 영역으로의 트래픽을 허용하는 p1로 보안 정책을 생성하고 일치 조건을 구성합니다.
[edit tenants TSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
영역 을(를) 신뢰할 수 없는 존(zone) 트러스트로 트래픽을 허용하고 일치 조건을 구성하는 p2로 보안 정책을 생성합니다.
[edit tenants TSYS1 security policies from-zone untrust to-zone trust] user@host# set policy p2 match source-address any user@host# set policy p2 match destination-address any user@host# set policy p2 match application any user@host# set policy p2 then permit
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show tenants tenant-name security policies . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
user@host# show tenants TSYS1 security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
확인
정책 구성 확인
목적
보안 정책에 대한 정보를 확인합니다.
작업
구성이 제대로 작동하는지 확인하려면 운영 모드에서 명령을 입력 show security policies detail tenant TSYS1 합니다.
user@host> show security policies detail tenant TSYS1
Default policy: deny-all Pre ID default policy: permit-all Policy: p1, action-type: permit, State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: untrust Source addresses: any Destination addresses: any Application: any IP protocol: 1, ALG: 0, Inactivity timeout: 60 ICMP Information: type=255, code=0 Application: junos-telnet IP protocol: tcp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [23-23] Application: app_udp IP protocol: udp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [5000-5000] Application: junos-icmp6-all IP protocol: 58, ALG: 0, Inactivity timeout: 60 ICMP Information: type=255, code=0 Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No Session log: at-create, at-close Policy statistics: Input bytes : 0 0 bps Initial direction: 0 0 bps Reply direction : 0 0 bps Output bytes : 0 0 bps Initial direction: 0 0 bps Reply direction : 0 0 bps Input packets : 0 0 pps Initial direction: 0 0 bps Reply direction : 0 0 bps Output packets : 0 0 pps Initial direction: 0 0 bps Reply direction : 0 0 bps Session rate : 0 0 sps Active sessions : 0 Session deletions: 0 Policy lookups : 0
의미
출력에는 테넌트 시스템에 구성된 보안 정책에 대한 정보가 표시됩니다.
테넌트 시스템에 대한 동적 주소 구성
테넌트 시스템의 동적 주소 입력은 보안 정책에 동적 IP 주소 정보를 제공합니다. 동적 주소를 사용하려면 테넌트 시스템의 이름, 피드 및 속성을 포함하여 동적 주소의 기본 정보를 지정해야 합니다.
예제 읽기 : 테넌트 시스템에서 보안 정책 구성 을 통해 이 절차가 보안 정책에 대한 전반적인 테넌트 지원에 적합한 방법과 위치를 파악합니다.
테넌트 시스템 내의 IPv4 네트워크에서 동적 주소를 구성하려면 다음을 수행합니다.
테넌트 시스템에서 보안 정책을 구성하는 방법:
테넌트 시스템 이름을 TSYS1로 정의합니다.
[edit] user@host# set tenants TSYS1
영역 신뢰에서 영역 신뢰할 수 없는 영역으로의 트래픽을 허용하는 p1로 보안 정책을 생성하고 일치 조건을 구성합니다.
[edit tenants TSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
명령을 입력하여 구성 확인
show tenants tenant-name security policies[edit] user@host# show tenants TSYS1 security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } }